Zentrum für Datenverarbeitung (ZDV)

Schalenmodell und Gültigkeitszeitraum

Bei der Überprüfung der Gültigkeit des Zertifikates wird ein Schalenmodell zugrunde gelegt, d. h. der Gültigkeitszeitraum eines Teilnehmerzertifikates muss innerhalb der Gültigkeitszeiträume aller übergeordneten bzw. ausstellenden Zertifikate der DFN-PKI (Wurzel- und CA-Zertifikat) oder UNI-PKI liegen. Läuft z. B. das Zertifikat der ausstellenden CA Ende des Jahres ab, so kann das Teilnehmerzertifikat nicht bis in das kommende Jahr hinein Gültigkeit haben.
Die max. Gültigkeitsdauer eines Zertifikates ist demnach nicht nur von den Angaben in der Policy sondern auch von der Gültigkeit der übergeordneten CA-Zertitfikate abhängig.

Um bei Verlängerungen der Zertifikate nahtlose Übergänge zu erreichen, können sich dann z.B. in der DFN-PKI jeweils zwei, zehn Jahre gültige CA-Zertifikate um fünf Jahre überlappen. Das Wurzelzertifikat der DFN-PKI hat einen Gültigkeitszeitraum von zwanzig Jahren. Somit ergibt sich ein max. Gültigkeitszeitraum der Teilnehmerzertifikate von fünf Jahren.

Die DFN-PKI erlaubt Laufzeiten von einem Jahr für maschinenbezogene Zertifikate und Laufzeiten von drei Jahren für personenbezogene Zertifikate. Leider wurden die Laufzeiten der maschinenbezogenen Zertifikate auf ein Jahr reduziert, weil die Auswertung der Widerrufslisten oft nicht erfolgt. Die Nutzung gesperrter Zertifikate wird hierdurch wirksamer eingeschränkt.